Éta hésé nyieun mesin virtual (VM) dina awan? Teu leuwih hese tibatan nyieun teh. Tapi lamun datang ka korporasi badag, malah misalna hiji aksi basajan bisa tétéla jadi painfully panjang. Teu cukup pikeun nyieun mesin virtual; Anjeun ogé kudu ménta aksés diperlukeun pikeun digawé luyu jeung sagala peraturan. A nyeri akrab pikeun unggal pamekar? Dina hiji bank badag, prosedur ieu nyandak ti sababaraha jam nepi ka sababaraha poé. Sarta saprak aya ratusan operasi sarupa per bulan, éta gampang pikeun ngabayangkeun skala skéma kuli-consuming ieu. Pikeun ngeureunkeun ieu, kami ngamodernisasi awan swasta bank sareng ngajadikeun otomatis henteu ngan ukur prosés nyiptakeun VM, tapi ogé operasi anu aya hubunganana.
Tugas No.1. Awan sareng sambungan Internét
Bank nyiptakeun awan pribadi nganggo tim IT internalna pikeun hiji bagéan jaringan. Kana waktu, manajemén ngahargaan mangpaatna sarta mutuskeun pikeun manjangkeun konsép awan swasta ka lingkungan sejen tur bagéan bank. Ieu peryogi langkung spesialis sareng kaahlian anu kuat dina méga pribadi. Ku alatan éta, tim kami dipercayakeun pikeun modérnisasi awan.
Aliran utama proyék ieu nyiptakeun mesin virtual dina bagéan tambahan kaamanan inpormasi - dina zona demiliterisasi (DMZ). Ieu dimana jasa bank dihijikeun sareng sistem éksternal anu aya di luar infrastruktur perbankan.
Tapi medali ieu ogé ngagaduhan sisi flip. Ladenan ti DMZ sayogi "di luar" sareng ieu kalebet sakumpulan résiko kaamanan inpormasi. Anu mimiti, ieu anceman sistem Hacking, perluasan saterusna widang serangan di DMZ, lajeng penetrasi kana infrastruktur bank urang. Pikeun ngaleutikan sababaraha résiko ieu, kami ngusulkeun ngagunakeun ukuran kaamanan tambahan - solusi micro-segmentation.
panyalindungan Micro-segmentation
Segmentasi klasik ngawangun wates anu ditangtayungan dina wates jaringan nganggo firewall. Kalawan microsegmentation, unggal VM individu bisa dipisahkeun kana pribadi, bagean terasing.
Ieu ngaronjatkeun kaamanan sakabéh sistem. Sanaos panyerang hack hiji server DMZ, éta bakal sesah pisan pikeun aranjeunna nyebarkeun serangan ka jaringan - aranjeunna kedah nembus seueur "panto dikonci" dina jaringan. Firewall pribadi unggal VM ngandung aturan sorangan ngeunaan eta, nu nangtukeun hak asup jeung kaluar. Kami nyayogikeun mikro-segméntasi nganggo VMware NSX-T Distributed Firewall. Produk ieu sacara terpusat nyiptakeun aturan firewall pikeun VM sareng nyebarkeunana kana infrastruktur virtualisasi. Henteu masalah anu OS tamu dipaké, aturan ieu dilarapkeun dina tingkat nyambungkeun mesin virtual ka jaringan.
Masalah N2. Dina pilarian laju sarta genah
Nyebarkeun mesin virtual? Gampang! Sababaraha klik sareng anjeun parantos réngsé. Tapi teras seueur patarosan timbul: kumaha carana kéngingkeun aksés tina VM ieu ka anu sanés atanapi sistem? Atawa tina sistem sejen deui ka VM?
Salaku conto, di bank, saatos mesen VM dina portal awan, anjeun kedah muka portal dukungan téknis sareng ngalebetkeun pamundut pikeun nyayogikeun aksés anu diperyogikeun. Kasalahan dina aplikasi nyababkeun telepon sareng korespondensi pikeun ngabenerkeun kaayaan. Dina waktos anu sami, VM tiasa gaduh 10-15-20 aksés sareng ngolah masing-masing nyandak waktos. Prosés Iblis.
Sajaba ti éta, "ngabersihkeun" ngambah aktivitas kahirupan mesin virtual jauh merlukeun perawatan husus. Saatos aranjeunna dihapus, rébuan aturan aksés tetep dina firewall, loading parabot. Ieu duanana mangrupa beungbeurat tambahan sarta liang kaamanan.
Anjeun teu tiasa ngalakukeun ieu sareng aturan dina awan. Teu merenah tur teu aman.
Pikeun ngaleutikan waktu nu diperlukeun pikeun nyadiakeun aksés ka VM sarta nyieun merenah pikeun ngatur eta, kami geus ngembangkeun hiji layanan manajemén aksés jaringan pikeun VMs.
Pamaké dina tingkat mesin virtual dina menu konteks milih hiji item pikeun nyieun hiji aturan aksés, lajeng dina formulir nu muka nangtukeun parameter - ti mana, dimana, jenis protokol, angka port. Saatos ngeusian sarta ngirimkeun formulir, tiket diperlukeun otomatis dijieun dina sistem rojongan teknis pamaké dumasar kana HP Service Manager. Aranjeunna tanggung jawab pikeun nyatujuan aksés ieu atanapi éta sareng, upami aksés disatujuan, ka spesialis anu ngalaksanakeun sababaraha operasi anu henteu acan otomatis.
Saatos tahapan prosés bisnis anu ngalibetkeun spesialis parantos damel, bagian tina jasa dimimitian anu otomatis nyiptakeun aturan dina firewall.
Salaku chord final, pamaké nilik pamundut hasil réngsé dina portal nu. Ieu ngandung harti yén aturan geus dijieun jeung anjeun bisa digawekeun ku eta - view, ngarobah, ngahapus.
Skor ahir kauntungan
Intina, urang dimodernisasi aspék leutik tina awan swasta, tapi bank narima éfék noticeable. Pamaké ayeuna nampi aksés jaringan ngan ukur ngaliwatan portal, tanpa langsung ngurus Meja Layanan. Widang formulir wajib, validasi maranéhanana pikeun correctness tina data diasupkeun, béréndélan pre-ngonpigurasi, data tambahan - kabeh ieu mantuan pikeun ngarumuskeun hiji pamundut aksés akurat, nu kalawan gelar luhur kamungkinan bakal dianggap tur teu ditampik ku karyawan kaamanan informasi alatan. pikeun kasalahan input. Mesin virtual henteu deui kotak hideung-anjeun tiasa teras-terasan damel sareng aranjeunna ku ngadamel parobihan dina portal.
Hasilna, dinten ieu spesialis IT bank boga di pembuangan maranéhanana alat leuwih merenah pikeun meunangkeun aksés, sarta ngan maranéhanana anu kalibet dina prosés, tanpa saha aranjeunna pasti moal bisa ngalakukeun tanpa. Dina total, tina segi biaya tanaga gawé, ieu pelepasan ti beban pinuh poéan sahenteuna 1 jalma, kitu ogé puluhan jam disimpen pikeun pamaké. Automation of kreasi aturan ngamungkinkeun pikeun nerapkeun solusi mikro-segmentation nu teu nyieun beungbeurat on karyawan bank.
Tungtungna, "aturan aksés" janten unit akuntansi awan. Nyaéta, ayeuna awan nyimpen inpormasi ngeunaan aturan pikeun sadaya VM sareng ngabersihkeunana nalika mesin virtual dihapus.
Moal lami deui mangpaat modernisasi bakal sumebar ka sakabéh awan bank urang. Automation tina prosés kreasi VM jeung mikro-segmentasi geus dipindahkeun saluareun DMZ sarta direbut bagéan séjén. Sareng ieu ningkatkeun kaamanan awan sacara gembleng.
Solusi anu dilaksanakeun ogé pikaresepeun sabab ngamungkinkeun bank nyepetkeun prosés pangwangunan, ngadeukeutkeunana kana modél perusahaan IT dumasar kana kriteria ieu. Barina ogé, lamun datang ka aplikasi mobile, portals, sarta layanan palanggan, sagala parusahaan badag kiwari strives pikeun jadi "pabrik" pikeun produksi produk digital. Dina hal ieu, bank sacara praktis maénkeun sajajar sareng perusahaan IT anu paling kuat, tetep sareng nyiptakeun aplikasi énggal. Sareng éta saé nalika kamampuan infrastruktur IT anu diwangun dina modél awan swasta ngamungkinkeun anjeun pikeun nyayogikeun sumber daya anu dipikabutuh pikeun ieu dina sababaraha menit sareng saaman-gancang.
Pangarang:
Vyacheslav Medvedev, Kapala Jurusan Cloud Computing, Jet Infosystems,
Ilya Kuikin, insinyur ngarah jurusan komputasi awan Jet Infosystems
sumber: www.habr.com